В Telegram появилась база данных клиентов и транзакций сервиса для анонимной верификации sms-activate.ru. Подобными ресурсами пользуются именно для маскировки реальных контактных данных, поэтому его клиентам особенно неприятна деанонимизация, отмечают эксперты. Утекшие данные, предупреждают они, могут использовать мошенники в социальной инженерии и маркетологи.
Фото: Александр Коряков, Коммерсантъ
В свободном доступе в мессенджере Telegram появился архив с информацией о трансакциях сервиса анонимной верификации sms-activate.ru, заметил Telegram-канал «Утечки информации». В утекшем файле содержатся имена, адреса электронной почты, IP-адреса, частичные номера платежных карт и суммы платежей, убедился “Ъ”.
Подобные сервисы фактически предоставляют мобильные номера во временное пользование клиентам. Это позволяет, например, анонимно пройти верификацию в Mail.ru, «ВКонтакте», Avito, Telegram, Twitter, «Яндексе» и на других ресурсах. Рост числа таких сервисов в рунете спровоцировал закон об обязательной идентификации пользователей мессенджеров по номеру телефона (см. “Ъ” от 20 декабря 2019 года).
Из информации на sms-activate.ru следует, что его ежедневная аудитория доходит до 17 тыс. в день, и каждый день на площадке появляется около 1,5 тыс. новых пользователей.
Утекшая база содержит около 163 тыс. уникальных записей, из них около 50 тыс. валидных, уточнил основатель сервиса разведки утечек данных и мониторинга даркнета DLBI Ашот Оганесян.
Представители sms-activate.ru по указанным на сайте контактам не ответили на запрос. База sms-activate.ru была добыта при помощи фаззинга — тестирования программного обеспечения путем перебора параметров, при котором в приложение автоматически направляются заведомо неверные данные и анализируется реакция программы на них для обнаружения ошибок, утверждают эксперты канала «Слив из приватных каналов». Такая уязвимость указывает на то, что само веб-приложение не тестировалось либо тестировалось поверхностно, говорит ведущий эксперт направления «Информационная безопасность» компании КРОК Александр Черныхов.
Это довольно редкий случай утечки, говорит эксперт центра продуктов Dozor компании «Ростелеком-Солар» Алексей Кубарев: «Ранее об утечках из сервисов приема СМС на виртуальные номера мы не слышали». Но Ашот Оганесян утверждает, что в июне уже была подобная утечка: «На открытом сервере Elasticsearch было обнаружено более 1,5 млн сообщений, предположительно отправленных с номера 900 с данными об именах клиентов, суммах снятия или перевода, балансах банковских карт и их последних четырех цифрах».
Располагая данными об операциях и частичными номерами карт, несложно составить примерный профиль владельца для манипулирования жертвой во время звонка от лица банка, предупреждает гендиректор Infosecurity a Softline Company Кирилл Солодовников.
Также базой могут воспользоваться маркетологи, полагает он. Основная опасность для пользователей именно таких сервисов — деанонимизация, так как ими часто пользуются с сомнительными целями, например для накрутки лайков в соцсетях или на платформах для голосования, для создания и верификации фейковых аккаунтов, говорит начальник отдела информационной безопасности «СерчИнформ» Алексей Дрозд.
Услуга предоставления виртуального номера не несет в себе признаков нарушения закона, если сервис в установленном законом порядке заключает с операторами контракты или договаривается с физическими и юридическими лицами, имеющими такие контракты, говорит управляющий партнер юридической компании «Иккерт и партнеры» Павел Иккерт. Как поясняли “Ъ” ранее собеседники в операторах связи, как правило, такие ресурсы используют сим-карты, массово закупленные на физических или юридических лиц.